INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI DEI PAZIENTI

ai sensi dell’art. 13 Reg. (UE) 2016/679

(Regolamento sulla protezione dei dati personali – GDPR)

 

In ottemperanza al Regolamento europeo sulla protezione dei dati (nel prosieguo, anche solo “GDPR”), Ospedale P. Pederzoli – Casa di Cura Privata S.p.A. (nel prosieguo, anche solo “Ospedale Pederzoli”), in qualità di Titolare del trattamento, con la presente informa il paziente/ospite, soggetto interessato (nel prosieguo, anche solo “interessato”), circa il trattamento dei suoi dati personali, compresi quelli appartenenti alle categorie particolari di cui all’art. 9 GDPR, descrivendo le caratteristiche di tale trattamento secondo le indicazioni dell’art. 13 GDPR.

 

Sono rese qui informazioni di carattere generale sul trattamento dei dati dei pazienti, rinviando per trattamenti specifici (Dossier Sanitario Elettronico, fascicolo sanitario elettronico, trattamenti a scopo di ricerca e altri) alle rispettive informative, reperibili sul sito aziendale o su altri siti di soggetti terzi, oppure rilasciate in occasione del singolo trattamento.

 

La presente informativa si applica ai trattamenti dei dati effettuati da Ospedale Pederzoli e dalle sue articolazioni, tra cui in particolare il Centro Servizi Dott. Pederzoli in tutte le unità di offerta (Residenza Socio-Sanitaria, Centro Diurno, Ospedale di Comunità, Hospice) e il Poliambulatorio Pederzoli.

 

  1. Titolare del trattamento e Responsabile della protezione dei dati

 

Il Titolare del trattamento dei dati personali è Ospedale P. Pederzoli – Casa di Cura Privata S.p.A., C.F. e P. IVA: 04219070234, con sede a Peschiera del Garda (VR), via Monte Baldo n. 24.

Per contattare il Titolare, i riferimenti sono i seguenti:

  • centralino: 045 6449111;
  • casella di posta elettronica ordinaria: urp@ospedalepederzoli.it;
  • casella di posta elettronica certificata: amministrazione-legalecdcpederzoli@pec.it;

Ulteriori dati di contatto sono rinvenibili nella home page del sito aziendale https://www.ospedalepederzoli.it/.

 

Il Responsabile della protezione dei dati (RPD o Data Protection Officer) nominato da Ospedale Pederzoli è l’avv. Francesco Falavigna del foro di Verona, che può essere contattato ai seguenti recapiti:

 

  1. Finalità e base giuridica del trattamento

 

Ospedale Pederzoli tratta sia dati personali comuni sia dati sensibili, per adempiere alle seguenti finalità:

  1. tutela della salute, sotto i diversi aspetti di prevenzione, diagnosi, cura e riabilitazione, compresi servizi diagnostici, terapeutici e qualsivoglia altro servizio erogato su richiesta del soggetto interessato, sia in caso di prestazioni ambulatoriali che di ricovero ospedaliero e/o sociosanitario e/o residenziale, sulla base del diritto dell’Unione Europea o del diritto nazionale o conformemente al contratto con un professionista della sanità;
  2. attività amministrative e certificatorie strettamente connesse al raggiungimento delle finalità di prevenzione, cura, diagnosi, riabilitazione e assistenza o terapia sanitaria o sociale sopra indicate, ivi incluse quelle correlate ai trapianti di organi e di tessuti e alle trasfusioni di sangue umano, nonché alla gestione dei rapporti con il paziente, nelle fasi di accettazione, prenotazione di visite ed esami, registrazione delle esenzioni, certificatorie relative allo stato di salute, etc.;
  3. adempimento a obblighi previsti da leggi, regolamenti e dalla normativa comunitaria (tra questi, in particolare, quelli in materia di igiene e sanità e in relazione ad adempimenti fiscali, verifiche di carattere amministrativo, ispezioni di organi preposti alla vigilanza in materia sanitaria, investigazioni della polizia giudiziaria);
  4. esercizio o difesa di un diritto in giudizio o in una fase propedeutica al giudizio;
  5. ricerca scientifica e/o di sperimentazione in campo medico, biomedico o epidemiologico;
  6. finalità didattiche, di formazione dei soggetti che frequentano le strutture aziendali per conseguire il titolo di studio necessario a intraprendere l’esercizio di una professione sanitaria o acquisire le conoscenze specialistiche in una particolare branca della medicina;
  7. altre finalità di rilevante interesse pubblico (ad es., finalità legate ad attività di programmazione, gestione e valutazione dell’efficacia e dell’appropriatezza dell’assistenza sanitaria erogata, attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, attività correlate a compiti del servizio sanitario nazionale, accesso a documenti amministrativi, etc.).

Per le finalità di cui alle lett. a) e b), i dati comuni vengono trattati dal Titolare sulla base di un contratto di cui l’interessato è parte e per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare ai sensi dell’art. 6 par. 1 lett. b), e) GDPR, mentre i dati personali che appartengono a categorie particolari vengono trattati per finalità di cura e per la tutela della salute e per motivi di interesse pubblico rilevante ai sensi dell’art. 9 par. 2 lett. g), h) e 9 par. 3 GDPR.

Per la finalità di cui alla lett. c), i dati comuni vengono trattati dal Titolare sulla base degli obblighi legali cui è soggetto il Titolare ai sensi dell’art. 6 par. 1 lett. c) GDPR, mentre i dati personali che appartengono a categorie particolari vengono trattati per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri ai sensi dell’art. 9 par. 2 lett. g) GDPR, in combinato disposto con l’art. 2 sexies d.lgs. 196/2003.

Per la finalità di cui alla lett. d), i dati comuni vengono trattati dal Titolare sulla base del legittimo interesse del Titolare del trattamento ai sensi dell’art. 6 par. 1 lett. f) GDPR, mentre i dati personali che appartengono a categorie particolari vengono trattati per l’accertamento, l’esercizio e la difesa di un diritto in sede giudiziaria ai sensi dell’art. 9 par. 2 lett. f) GDPR.

Per la finalità di cui alla lett. e), i dati comuni vengono trattati dal Titolare sulla base di un compito di interesse pubblico ai sensi dell’art. 6 par. 1 lett. e) GDPR, mentre i dati personali che appartengono a categorie particolari vengono trattati per finalità di ricerca scientifica ai sensi degli artt. 9 par. 2 lett. j) GDPR e 110 bis co. 4 d.lgs. 196/2003.

Per la finalità di cui alla lett. f), la base giuridica del trattamento è un compito di interesse pubblico rilevante sulla base del diritto nazionale, che riconosce quale finalità di fondamentale interesse pubblico la formazione in ambito universitario e professionale ai sensi dell’art. 6 par. 1 lett. e) e par. 3 lett. b) GDPR per i dati comuni e dell’art. 9 par. 2 lett. g) GDPR per i dati personali che appartengono a categorie particolari.

Per la finalità di cui alla lett. g), la base giuridica del trattamento è un compito di interesse pubblico ai sensi dell’art. 6 par. 1 lett. e) GDPR per i dati comuni e dell’art. 9 par. 2 lett. g) GDPR per i dati personali che appartengono a categorie particolari.

I dati personali saranno altresì trattati, nell’ambito della normale attività del Titolare, e solo previo specifico CONSENSO dell’interessato, per le ulteriori finalità di seguito indicate:

  1. comunicazione delle informazioni sul suo stato di salute a parenti o altri soggetti;
  2. comunicazione della sua presenza in struttura a parenti o altri soggetti;
  3. comunicazione dei suoi dati personali a compagnie assicurative private, che ne facciano richiesta al fine di gestire pratiche relative a polizze assicurative stipulate dall’interessato;
  4. invio di promemoria – tramite posta elettronica, SMS o altri canali – delle prestazioni sanitarie prenotate;
  5. invio di comunicazioni – tramite posta elettronica, SMS o altri canali – a scopo promozionale (ad es., newsletter, informazioni su iniziative e/o eventi, etc.);
  6. servizio di refertazione online che permette di visionare e scaricare sul proprio PC il referto relativo all’esame effettuato collegandosi all’apposita sezione predisposta nel sito Internet istituzionale, inserendo le credenziali di autenticazione (ID accettazione e Token) fornite dal personale della struttura al momento della prenotazione dell’esame;
  7. rendere disponibili i dati e documenti sanitari, che vengono formati, integrati e aggiornati nel tempo da più soggetti, in modo da documentare, in prospettiva, l’intera storia clinica, mediante il Fascicolo Sanitario Elettronico (“FSE”), strumento utilissimo al fine di offrire all’organismo sanitario che assiste l’interessato, al medico e all’interessato stesso una migliore valutazione del caso, attraverso una più efficace ricognizione dei dati clinici. Per ulteriori informazioni sul FSE, si rimanda all’informativa sul trattamento dei dati personali per il Fascicolo Sanitario Elettronico predisposta dalla Regione Veneto (“Regione Veneto Informativa al trattamento dei dati personali del FSE”) consultabile sul sito: https://sanitakmzero.azero.veneto.it/servizi/a/informative/privacy.

 

Per le finalità di cui alle lett. h), i), j), k), m), n) sopra indicate, la base giuridica del trattamento è il consenso specifico dell’interessato ai sensi dell’art. 6 par. 1 lett. a) per i dati comuni e dell’art. 9 par. 2 lett. a) GDPR per i dati personali che appartengono a categorie particolari. Il consenso viene rilasciato al primo accesso alla struttura e ha una validità a tempo indeterminato sino a sua revoca.

 

Per la finalità di cui alla lett. l), vengono trattati solo i dati personali comuni e la base giuridica è il consenso specifico dell’interessato ai sensi dell’art. 6 par. 1 lett. a).

 

Il consenso eventualmente rilasciato dall’interessato si applica alle prestazioni erogate da Ospedale Pederzoli e dalle sue articolazioni, tra cui in particolare il Centro Servizi Dott. Pederzoli in tutte le sue unità di offerta (Residenza Socio-Sanitaria, Centro Diurno, Ospedale di Comunità, Hospice).

 

Qualora Ospedale Pederzoli intenda trattare ulteriormente i dati personali per una finalità diversa da quella per la quale essi sono stati raccolti, prima di tale ulteriore trattamento – e comunque con congruo anticipo per consentire eventualmente all’interessato di opporvisi, ricorrendone le condizioni – fornisce all’interessato stesso informazioni in merito a tale diversa finalità, compresa, dietro richiesta dell’interessato, l’analisi di compatibilità delle finalità (quella originaria e quella diversa) condotta ai sensi dell’art. 6 par. 4 GDPR, nel caso in cui l’ulteriore trattamento non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o nazionale, e ogni ulteriore informazione pertinente tra quelle di cui al presente documento.

 

  1. Natura del conferimento dei dati

 

Il conferimento dei dati personali richiesti per le finalità di cura della salute e quelle amministrative a queste strettamente correlate è necessario per poter accedere ai relativi servizi; il mancato conferimento potrebbe rendere impossibile all’interessato l’accesso alle prestazioni sanitarie.

Il conferimento dei dati personali richiesti per le altre finalità, invece, è facoltativo; il mancato conferimento non pregiudicherà l’erogazione dei servizi di diagnosi e cura.

 

Il presente documento si riferisce alle informazioni da fornire quando i dati personali sono raccolti direttamente presso l’interessato, nel momento in cui i dati stessi sono ottenuti; laddove invece tali dati siano ottenuti da terzi, Ospedale Pederzoli renderà le necessarie informazioni all’interessato nel momento stabilito dal GDPR secondo le diverse circostanze.

 

  1. Destinatari dei dati: ambito di comunicazione e diffusione

 

I dati personali non sono resi disponibili a soggetti terzi, fatta eccezione per:

  • operatori interni (personale medico, infermieristico, ausiliario e amministrativo), in qualità di “autorizzati” o “incaricati” al trattamento dei dati dal Titolare;
  • eventuali soggetti terzi (ad es., fornitori di software) opportunamente nominati ai sensi dell’art. 28 GDPR Responsabili esterni del trattamento, i cui riferimenti sono disponibili presso la struttura;
  • Autorità Sanitarie (ad es., Aulss) e la Regione Veneto che, in conformità alla normativa vigente, potranno richiedere di verificare la cartella clinica, il referto e/o comunque la documentazione riguardante la prestazione erogata all’interessato allo scopo di valutare l’appropriatezza di quanto fornito, la correttezza e l’esattezza dei dati raccolti, in ogni caso con modalità tali da garantirne la riservatezza;
  • Autorità di pubblica sicurezza, Autorità giudiziaria e altri soggetti pubblici o privati rispetto ai quali la comunicazione è obbligatoria ai sensi di legge.

 

Il Titolare può, altresì, divulgare i dati nell’ambito di pubblicazioni scientifiche o statistiche in forma rigorosamente anonima.

 

4.1. Comunicazione a soggetti terzi in caso di accesso al pronto soccorso o di ricovero

 

Come già anticipato, Ospedale Pederzoli avverte che, in assenza di indicazioni contrarie da parte dell’interessato, provvederà a dare notizia, anche per telefono, sul passaggio o sulla presenza dell’interessato al pronto soccorso o in reparto, ma solo a parenti o altri soggetti. L’interessato, se cosciente e capace, deve essere preventivamente informato al momento dell’accesso al pronto soccorso o del ricovero e poter decidere a quali soggetti possa essere comunicata la sua presenza. Le informazioni circa lo stato di salute possono essere comunicate a parenti o altri soggetti solo previo consenso dell’interessato, ad eccezione delle ipotesi di impossibilità fisica o incapacità dello stesso.

 

  • Trasferimento dei dati a un paese terzo o a un’organizzazione internazionale

 

In linea di principio, Ospedale Pederzoli non trasferisce dati personali di propri pazienti a paesi estranei all’Unione europea o comunque fuori dallo Spazio Economico Europeo, dove valgono le regole del diritto comunitario, o a organizzazioni internazionali.

Qualora ciò dovesse rivelarsi necessario in casi specifici, anche nell’ambito di progetti di ricerca, Ospedale Pederzoli garantisce che il trasferimento avverrà in conformità alle norme del Capo V GDPR (art. 44 e ss.), e dunque solo sulla base di una decisione di adeguatezza della Commissione europea o, in mancanza di tale decisione, sulla base di clausole standard di protezione dei dati adottate dalla Commissione europea o di qualsiasi altro fondamento giuridico esplicitamente previsto dal Regolamento, compreso il consenso specifico dell’interessato.

 

  1. Diritti dell’interessato

 

Rispetto ai trattamenti posti in essere da Ospedale Pederzoli per il perseguimento delle finalità sopra indicate, ai sensi degli artt. 7 par. 3, 15-22, 34 e 77 par. 1 GDPR, l’interessato ha:

  • il diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano e, in tal caso, il diritto di accesso, ossia ad avere comunicazione in forma intelligibile dei dati che lo riguardano e di una serie di informazioni, previste dalla legge, analoghe a quelle che formano oggetto del presente documento (art. 15 parr. 1 e 2 GDPR);
  • il diritto di rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo o l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa (art. 16 GDPR);
  • il diritto alla cancellazione dei propri dati in specifiche circostanze (ad es., quando i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti). Questo diritto subisce un’eccezione in ambito sanitario; se l’interessato richiede la cancellazione dei suoi dati personali, questi non saranno più resi disponibili, ma non verranno cancellati poiché la loro conservazione è necessaria a norma di legge. Sono previste eccezioni nel caso in cui i dati personali sono stati trattati illecitamente oppure nel caso in cui l’interessato si oppone per motivi connessi alla sua situazione particolare al trattamento posto in essere per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e non sussiste alcun motivo legittimo prevalente per procedere al trattamento stesso (art. 17 GDPR);
  • il diritto di limitazione del trattamento dei dati personali che lo riguardano è previsto solo in taluni casi particolari, ossia: ove l’interessato contesti l’esattezza dei dati personali (ma per il periodo strettamente necessario affinché il Titolare ne verifichi l’esattezza); ove, in presenza di un trattamento illecito, l’interessato si opponga alla cancellazione dei dati; ove, qualora il Titolare non abbia più necessità di conservare i dati, sussista da parte dell’interessato l’interesse alla loro conservazione ai fini dell’esercizio o difesa di un diritto in sede giudiziaria; e infine, il diritto alla limitazione del trattamento può essere esercitato in caso di opposizione al trattamento, ma solo per il tempo utile a stabilire la preminenza tra l’interesse del Titolare del trattamento e il diritto dell’interessato. La limitazione può essere revocata in qualsiasi momento: prima dell’efficacia della revoca il Titolare deve informare il soggetto interessato (art. 18 GDPR);
  • il diritto alla portabilità dei dati che consente all’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti da Ospedale Pederzoli, anche al fine di trasmetterli a un altro Titolare, qualora il trattamento si basi sul consenso o su un contratto o qualora il trattamento sia effettuato con mezzi automatizzati (art. 20 GDPR);
  • il diritto di opposizione in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei propri dati personali necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui Ospedale Pederzoli è investito del paragrafo dedicato alle finalità del trattamento (art. 21 GDPR);
  • il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato compresa la profilazione, che produca effetti giuridici che la riguardino o che incida in modo analogo significativamente sulla sua persona (art. 22 GDPR);
  • il diritto di ricevere, senza ingiustificato ritardo, la comunicazione di una violazione di dati personali, salva la sussistenza di condizioni che non la rendono necessaria (art. 34 GDPR);
  • il diritto di revocare il consenso al trattamento dei dati in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca (art. 7 par. 3 GDPR);
  • il diritto di proporre reclamo al Garante per la protezione dei dati personali, nel caso in cui ritenga che il trattamento che lo riguarda violi il GDPR, fatto salvo ogni altro ricorso amministrativo o giurisdizionale (art. 77 par. 1 GDPR).

 

L’interessato può esercitare in qualsiasi momento i suoi diritti inoltrando una richiesta per iscritto al Titolare ovvero al DPO ai recapiti sopra indicati.

 

  1. Periodo di conservazione dei dati

 

I periodi di conservazione o sono direttamente stabiliti dalla normativa vigente o sono decisi di volta in volta da Ospedale Pederzoli secondo il tempo in cui il documento esaurisce la propria funzione.

 

Con particolare riferimento alla documentazione sanitaria, l’ordinamento giuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione della stessa. Si fa riferimento, ad esempio, alla conservazione delle cartelle cliniche che, unitamente ai relativi referti, vanno conservate illimitatamente (Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260) e alla documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a 10 anni (art. 4 d.m. 14 febbraio 1997).

 

Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, il Titolare del trattamento, in virtù del principio di responsabilizzazione, individua tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati (principio di limitazione della conservazione, art. 5 par. 1 lett. e) GDPR).

Scroll to Top